- 1、本文档共161页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
信息安全工程及管理 CISP认证培训教程 -3-信息系统安全工程
信息安全工程及管理信息安全工程 中国信息安全产品测评认证中心(CNITSEC) CISP-3-信息安全工程(培训样稿) 目录 1. 什么是信息系统安全工程? 2. 为什么需要ISSE? 3. 系统工程 4. ISSE的阶段 5 ISSE功能 6 信息系统安全工程总结 信息系统发生什么变化? 系统变得更加复杂; 独立的系统开始连网; 计算在分布式的多个处理器上进行; 对网络有多级安全要求; 对信息访问有公开和合作的需求; IT的复杂性已从技术问题转到商务和法律问题. 1. 什么是信息系统安全工程? 信息系统安全工程是这样的一个过程:它解决用户的信息保障需求,是系统工程学、系统采购、风险管理、认证和认可以及生命期支持的一部分。它是系统工程过程的自然扩展。 这些过程都有公共要素:发现需求、定义系统功能、设计系统单元、开发和安装系统、评估系统有效性、系统采购、风险管理、认证和认可、生命期安全支持等。 什么是信息系统安全? 信息是一家机构的资产,与其它资产一样,应受到保护。信息安全的作用是保护信息不受大范围威胁所干扰,使机构业务能够畅顺,减少损失及提供最大的投资回报和商机。 信息可以有多种存在方式,可以写在纸上、储存在电子文档里,也可以用邮递或电子手段发送,可以在电影上放映或者说话中提到。无论信息以何种方式表示、共享和存储,都应当适当地保护起来。 信息系统安全工程的内涵 ISSE是系统工程和方法论。 ISSE是系统安全工程、系统工程、系统采购在信息系统安全方面的具体体现。 ISSE是系统工程和系统建设的必不可少的组成部分。 ISSE是对系统工程生命期的安全风险控制 2. 为什么需要ISSE? 社会对信息系统的依赖程度逐渐加强、信息的价值在增加、开放和安全的矛盾突出。 信息系统本身存在固有的弱点使其易于受到各种攻击(蓄意、无意)。 信息系统逐渐从专用系统向通用(现货)系统过渡,信息系统安全专业人员将和开发人员、系统集成人员、用户有更加紧密的合作的前提条件。 ISSE是CC、SSE-CMM在实际工程上的体现。 规范信息系统安全建设的需要 实施信息系统安全测评认证的需要 实施国家信息安全规范、规定、标准的需要 3. 系统工程 系统工程: 系统工程是一种跨学科的方法,它以开发并验证一个系统产品(或处理系统)能满足最终用户需求为目的。 系统工程包括: 开发——包括需求分析、系统设计、部件设计和集成。 生产——包括试制和最终生产 认证——包括演示、试验、审查和分析 部署 运行(使用) 支持和培训 拆除 系统工程过程 系统工程包括下面五个过程: 发现任务需求 确定系统功能 进行系统设计 部署系统 系统有效性评估 系统工程过程 输入 需求分析 功能分析和配置 综合 系统分析和控制 输出 输入: 客户需求/要求 任务 有效性手段 环境 限制 技术基础 来自前阶段的输出 项目判决要求 有关专用和标准的要求 需求分析: 分析任务和环境 识别功能要求 性能和设计限制要求的确定和精练 功能分析和配置: 分解成更低层次的功能 把要求配置到所有功能级 确定功能接口 确定和集成功能体系结构 综合: 从功能到物理的转换 确定替代系统的概念: 配置项 系统单元(要素) 确定物理接口 确定优选产品和过程解决方案 系统分析和控制: 折中研究 有效性分析 风险管理 配置管理 数据管理 基于性能的进程管理 输出: 随阶段而变的: 判决支持数据 系统体系结构 规范 基线 ISSE的最终体现: 项目所必须的安全要求 在用户、测评人员以及客户可接受的风险水平上满足要求。 精心的支持用户,谨慎地剪裁以满足客户要求。 作为一种运作,应把安全尽早地结合到系统工程中去。 在费用、进度、实用性和有效性的综合考虑中要平衡考虑安全风险管理和ISSE的其它方面。 将INFOSEC的有关科目和能力要求与其它各种限制同时折中考虑 4. ISSE的阶段 4.1 先期概念阶段 目的:确定用户的任务需求。指出信息系统应具备的安全能力; 提供的文件:任务能力需求报告(MNS),作为系统安全要求和规范的出发点。由用户和ISSE参与者共同起草。 MNS的内容不一定实现,它只是一个目标 本阶段与ISSE有关的活动: 运行任务各种问题的调查; 安全威胁类型调查; 找出国家和地方安全法规的限制; 根据安全目标确定的能力,考虑可能的进度; 如果可能确定供应商。 4.2概念阶段 目的:信息系统概念层面的系统安全方案的探索,决定哪些方案可能满足任务要求,选出要进一步讨论的方案。 目标:信息系统安全建设的参与各方进行可选系统评审(ASR)对每个可能的代替方案进行审查,看其能否满足用户安全需求、是否符合有关的要求和规范以及信息系统有关的所有问题都要调研,有冲突的地方都要解决。本阶段结束要得到初步的系统技术、
文档评论(0)